Fortra, la compañía detrás de Cobalt Strike, arrojó luz sobre una vulnerabilidad de ejecución remota de código (RCE) de día cero en su herramienta GoAnywhere MFT que ha sido explotada activamente por actores de ransomware para robar datos confidenciales.
La falla de alta gravedad, rastreada como CVE-2023-0669 (puntuación CVSS: 7.2), se refiere a un caso de inyección de comando autenticado previamente que podría abusarse para lograr la ejecución del código. La empresa solucionó el problema en la versión 7.1.2 del software en febrero de 2023, pero no antes de que se armara como un día cero desde el 18 de enero.
Fortra, que trabajó con la Unidad 42 de Palo Alto Networks, dijo que se enteró de actividad sospechosa asociada con algunas de las instancias de transferencia de archivos el 30 de enero de 2023.
«La parte no autorizada usó CVE-2023-0669 para crear cuentas de usuario no autorizadas en algunos entornos de clientes de MFTaaS», dijo la empresa. dicho. «Para un subconjunto de estos clientes, la parte no autorizada aprovechó estas cuentas de usuario para descargar archivos de sus entornos MFTaaS alojados».
El actor de amenazas abusó aún más de la falla para implementar dos herramientas adicionales, denominadas «Netcat» y «Errors.jsp», entre el 28 de enero de 2023 y el 31 de enero de 2023, aunque se dice que no todos los intentos de instalación han tenido éxito.
Fortra dijo que contactó directamente a los clientes afectados y que no ha encontrado ninguna señal de acceso no autorizado a los sistemas de los clientes que han sido reabastecidos en un «entorno MFTaaS limpio y seguro».
Si bien Netcat es un programa legítimo para administrar la lectura y escritura de datos en una red, actualmente no se sabe cómo archivo JSP fue utilizado en los ataques.
La investigación también encontró que CVE-2023-0669 fue explotado contra una pequeña cantidad de implementaciones en las instalaciones que ejecutan una configuración específica de la solución GoAnywhere MFT.
Como mitigaciones, la empresa recomienda que los usuarios cambien la clave maestra de cifrado, restablezcan todas las credenciales, revisen los registros de auditoría y eliminen las cuentas de administrador o usuario sospechosas.
El desarrollo viene como Malwarebytes y Grupo CNC informó un aumento en los ataques de ransomware durante el mes de marzo, impulsado en gran medida por la explotación activa de la vulnerabilidad GoAnywhere MFT.
Solo el mes pasado se registraron un total de 459 ataques, un aumento del 91 % desde febrero de 2023 y un salto del 62 % en comparación con marzo de 2022.
Defiéndase con el engaño: avanzando en la seguridad de confianza cero
Descubra cómo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. ¡Únase a nuestro seminario web perspicaz!
«El proveedor de ransomware como servicio (RaaS), Cl0p, explotó con éxito la vulnerabilidad de GoAnywhere y fue el actor de amenazas más activo observado, con 129 víctimas en total», dijo NCC Group.
La ola de explotación de Cl0p marca la segunda vez que LockBit ha sido eliminado del primer puesto desde septiembre de 2021. Otras cepas de ransomware predominantes incluyen Royal, BlackCat, Play, Black Basta y BianLian.
Vale la pena señalar que los actores de Cl0p explotaron previamente fallas de día cero en Accellion File Transfer Appliance (FTA) para violar varios objetivos en 2021.